Adobe a publié un correctif de sécurité d'urgence pour ColdFusion, afin de remédier à une vulnérabilité critique de type “zero-day”. Le géant de la technologie a mis en garde les utilisateurs contre l'exploitation active de la faille, les exhortant à mettre à jour leurs systèmes dès que possible.
Exploitation active détectée pour Adobe ColdFusion Zero-Day
Le récent bulletin de sécurité d'Adobe met l'accent sur la correction d'une faille zero-day de gravité critique affectant Adobe ColdFusion.
ColdFusion est une plate-forme de développement logiciel propriétaire d'Adobe qui facilite le développement rapide d'applications Web. La plateforme comprend un IDE intégré et un langage de script complet. Elle permet de développer des applications diversifiées, des sites axés sur les données aux services à distance tels que les WebSockets, les services REST, les services web SOAP, etc.
Selon l'avis d'Adobe, le service a corrigé trois vulnérabilités dans l'outil. L'une d'entre elles, CVE-2023-38205, est une faille de gravité critique avec un score CVSS de 7,5. Adobe a confirmé que cette vulnérabilité était un jour zéro, détectant son exploitation active dans des “attaques limitées.”
La société n'a pas partagé de détails sur cette vulnérabilité, outre le fait qu'elle l'a répertoriée comme un contournement de fonction de sécurité dû à un contrôle d'accès inapproprié. Cependant, les chercheurs de Rapid7 ont rapporté l'affaire en détail lorsqu'ils ont remarqué des tentatives d'exploitation active enchaînant les vulnérabilités CVE-2023-29298 (découvertes par Rapid7) et CVE-2023-38203 (découvertes par ProjectDiscovery) qui avaient été précédemment corrigées. Les chercheurs ont observé que le correctif pour CVE-2023-29298 ne réglait pas complètement le problème, ce qui laissait de l'espace aux adversaires pour exploiter la faille.
Suite à cette découverte, Rapid7 a rapidement signalé le problème à Adobe, qui a ensuite inclus le correctif pour CVE-2023-29298 avec CVE-2023-38205.
Les deux autres vulnérabilités corrigées avec la dernière version de ColdFusion comprennent une vulnérabilité critique d'exécution de code due à la désérialisation de données non fiables, CVE-2023-38204 (CVSS 9,8), et un contournement de fonctionnalité de sécurité de gravité modérée, CVE-2023-38206 (CVSS 5,3).
Adobe a répertorié les versions logicielles suivantes comme étant vulnérables aux failles.
- ColdFusion 2023 (mise à jour 2 et antérieures)
- ColdFusion 2021 (Mise à jour 8 et antérieures)
- ColdFusion 2018 (Mise à jour 18 et antérieures)
Alors que la firme a patché les problèmes avec ColdFusion 2023 (Update 3), ColdFusion 2021 (Update 9), et ColdFusion 2018 (Update 19). Les utilisateurs doivent mettre à jour leurs systèmes vers ces versions pour recevoir les correctifs en conséquence.
Fais-nous part de tes réflexions dans les commentaires.
